Filless PowerShell恶意软件使用DNS作为隐蔽通信频道
iPhone-or-healthcare Lawmaker在2016年的Apple Store花了3000美元的捐助者的钱
MI5承认“非法”在隐私国际上间谍活动
智能自动化支出到2025年达到232亿美元
OpenReach将全纤维宽带延伸到Coventry
在这里使用量子计算机,开发人员寻求使用
如何阻止下一个版本的Windows 10中的自动更新
CIO采访:Alex Von Schirmeister,CDTIO,RS组件
Microsoft修复了缺陷的记录数量,一些公开知名
红色帽子用集装箱存储界面扔帽子
ESRI用直播流,新资源启动GIS Devsum​​m专利
禁止杀手机器人的阿姆斯蒂国际背部运动
黑客利用Apache Struts漏洞损害公司Web服务器
Microsoft悄悄地宣传修补程序周二更新中的创作者更新
帝国品牌如何控制其软件许可证
Android升级问题后面的丑陋真相
黑客在有针对性的攻击中使用危险的Petya赎金软件
黑客威胁要擦去数百万苹果设备,需求赎金
高地和岛屿宽带推出延长
敏捷它通过遗产技术和遗产预算持有
ico威胁罚款以获得未付费用
Redfin CTO说机器学习需要人类帮助
卫生秘书Matt Hancock以200万英镑的基金提升NHS
迷失在太空:NASA如何发现丢失的月球宇宙飞船
谷歌:Android设备的一半尚未在一年或更长时间进行修补
澳大利亚青少年苹果黑客避免了监狱时间
家庭办公室推出欧盟国民登记系统试点
Windows 10的下一个大更新,redstone 3,击中雷达
'人工智能'已成为毫无意义的营销术语
政府阐述了更好地利用铁路数据的愿景
无用的恶意软件成长趋势,警告麦克菲
顶级秘密的X-37B空间飞机即将打破另一个记录
布鲁塞尔贷款诺基亚€500欧元以资助欧洲5G研究
IPSE警告政府私营部门IR35改革,因为“无交易”Brexit恐惧成长
Microsoft将Store应用程序的限制添加为Windows 10中的选项
爱尔兰的规划法律被认为是政府公共部门的“风险”的公共部门数据中心计划
IDC说,“听力”和衣服在可穿戴物品市场中增长最快,说
Wikileaks Dump Spotlights CIA间谍活动
泄露的文档建议NSA和CIA后面的等式Cyber​​semage Group
Hortonworks Cloudera合并提案激励市场锅
研究说,三分之二的电子邮件不干净
英国官员希望警方访问WhatsApp消息
网络安全挑战英国扩大
Wannacry和Notpetya鼓​​舞人心的新攻击
Tibco插入Spotfire中的流数据间隙
遇见SEDRIC - 从大众汽车的无人驾驶司机
最佳供应链公司是数据和自动化的主人
NTT DOCOMO演示VR控制机器人超过5G
Digital CataPult为AI和机器学习推出道德框架
第一眼:新的LG G6带来了一个新的方面(比率)
您的位置:首页 >产品 > 商业评论 >

Filless PowerShell恶意软件使用DNS作为隐蔽通信频道

2021-08-11 20:44:23 [来源]:

有针对性的攻击正在远离传统恶意软件到涉及滥用标准系统工具和协议的隐秘技术,其中一些并不总是监控。

最新例子是被称为Dnsmessenger的攻击,由思科系统的研究人员分析了“Talos团队”。该攻击从通过电子邮件网络钓鱼活动分发的恶意Microsoft Word文档开始。

打开后,文件伪装成由McAfee保障的“受保护的文件”,这是由英特尔安全的防病毒品牌所拥有的。要求用户单击“启用内容”按钮才能查看文档的内容,但实际执行嵌入在内部的恶意脚本。

该脚本是用PowerShell编写的,该脚本在Windows中构建了一个强大的脚本语言,允许系统管理任务的自动化。有趣的是,直到这一点,一切都在内存中完成,而不将任何恶意文件写入磁盘。

第二阶段还在PowerShell中完成,涉及检查环境的几个参数,如登录用户的权限和系统上安装的PowerShell版本。此信息用于确定如何进入下一步以及如何实现持久性。

根据阶段 - 两个检查结果,另一个PowerShell脚本将存储在NTFS文件系统中的备用数据流(广告)中,也将直接存储在注册表中。第三阶段PowerShell脚本包含一个额外的混淆脚本,该脚本在域名系统(DNS)上建立相当复杂的双向通信通道。

DNS通常用于查找与域名相关联的Internet协议地址,但它还支持不同类型的记录。特别允许DNS服务器将未格式化的文本附加到响应中的TXT记录。

“使用DNS TXT查询和响应执行与此恶意软件相关联的所有C2 [命令和控制]通信,”Cisco Talos研究人员在博客文章中表示。

此隐蔽通信通道允许攻击者发送要在系统上执行的命令并接收这些命令的输出。

组织通常会达到很大的长度来过滤进出网络的HTTP和HTTPS流量,但其中许多监控DNS。攻击者知道这一点,并封装了DNS内的其他协议以保持未被发现。

使用像PowerShell和CODE中直接在内存中执行的代码的系统工具也越来越常见的技术,使得检测到妥协更难。

“这个恶意软件样本是长度攻击者的一个很好的例子,旨在在他们瞄准的环境中运作时愿意保持未被发现,”思科·塔罗斯索斯研究人员表示。“它还说明了除了检查和过滤网络协议之类的网络协议之外的重要性,如HTTP / HTTPS,SMTP / POP3等的DNS流量也应该被视为攻击者可以用于实现全功能,双向的频道C2基础设施。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。